Azure App Service

Azure App Service

Azure App Service 是微软 Azure 提供的完全托管的 PaaS（平台即服务）环境，用于部署和运行 Web 应用、API、移动后端和服务器less 函数。它原生支持 HTTPS 流量，并强制要求所有自定义域名通过 SSL/TLS 加密通信——但其证书管理机制与传统服务器不同：App Service 本身不直接安装或存储私钥，而是通过「证书导入 + 绑定」方式将 ssl证书 交由 Azure 内部密钥管理服务（Key Vault 集成可选）托管，并在前端负载均衡器（Front Door 或内置 TLS 终止点）完成 TLS 解密。

开发者可通过 Azure 门户、CLI 或 ARM/Bicep 模板上传证书（PFX 格式，含私钥），然后将其绑定到特定自定义域名。绑定后，Azure 自动配置 SNI 和 OCSP Stapling，兼容现代浏览器及 RFC 6066 要求。值得注意的是，免费层（Free/F1）不支持自定义域名 HTTPS；共享层（Shared）仅支持内部证书（非公开信任）；只有 Basic 及以上层级才支持绑定公开信任的 DV SSL证书 或 OV SSL证书。

需要注意的情况

• 证书必须为 PFX 格式且包含完整证书链（否则绑定失败或出现“不安全”警告）；推荐使用 OpenSSL 或 Keytool 验证链完整性。
• 若启用 Azure Front Door 或 CDN，TLS 终止点可能上移，此时需在 Front Door 层单独配置证书，App Service 后端可使用 HTTP 或内部 TLS。
• Let’s Encrypt 证书可通过第三方扩展（如 “SSL Cert Binding”）自动续签，但 Azure 原生不提供 ACME 集成；Lets Encrypt 免费证书适用于测试与非关键场景，生产环境建议选用 Sectigo 或 Digicert 等商业 CA 签发的证书以保障兼容性与 OCSP 响应稳定性。
• 国密合规场景下，Azure App Service 当前不原生支持 SM2/SM4 算法握手；如需 国密SSL证书，须前置部署支持国密的网关（如 Nginx+OpenSSL-SM 或商用国密负载均衡器）。